addslashes, mysql_real_escape_string并不能防止SQL注入!!!